TikiWiki CMS/Groupware 多个SQL注入漏洞

CNNVD-ID编号	CNNVD-201003-420
CVE编号	CVE-2010-1133
发布时间	2010-03-27
更新时间	2010-03-29
漏洞类型	SQL注入
漏洞来源	Mateusz Drygas and the vendor
危险等级	高危
威胁类型	远程
厂商	tiki

漏洞介绍

TikiWiki是一款网站内容管理系统，基于PHP+ADOdb+Smarty等技术构建。

TikiWiki CMS/Groupware存在多个SQL注入漏洞。远程攻击者可以借助未明向量，执行任意SQL命令。这些向量可能与脚本tiki-searchindex.php和tiki-searchresults.php相关联。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki/branches/proposals/4.x/lib/userslib.php?view=markup&pathrev=24734

http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki/branches/proposals/4.x/lib/userslib.php?view=markup&pathrev=25046

http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki/branches/proposals/4.x/tiki-searchresults.php?view=markup&pathrev=25424

http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki/branches/proposals/4.x/tiki-searchindex.php?view=markup&pathrev=25435

来源: XF

名称: tikiwiki-unknown-input-sql-injection(56769)

链接：http://xforce.iss.net/xforce/xfdb/56769
来源: BID

名称: 38608

链接：http://www.securityfocus.com/bid/38608
来源: tikiwiki.svn.sourceforge.net

链接：http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki?view=rev&revision=25435
来源: tikiwiki.svn.sourceforge.net

链接：http://tikiwiki.svn.sourceforge.net/viewvc/tikiwiki?view=rev&revision=25424
来源: SECUNIA

名称: 38896

链接：http://secunia.com/advisories/38896
来源: OSVDB

名称: 62800

链接：http://osvdb.org/62800